Referencia de seguridad en la nube de Microsoft: acceso, datos, identidad, red, punto de conexión, gobernanza, recuperación, incidentes y administración de vulnerabilidades

Gestión de Activos cubre los controles para garantizar la visibilidad y gobernanza de la seguridad sobre sus recursos, incluidas las recomendaciones sobre permisos para el personal de seguridad, el acceso de seguridad al inventario de activos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección).

AM-1: Realizar un seguimiento del inventario de activos y sus riesgos

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
1.1, 1.5, 2.1, 2.4	CM-8, PM-5	2,4

Principio de seguridad: realice un seguimiento del inventario de recursos mediante consulta y descubra todos los recursos en la nube. Organice lógicamente los recursos mediante el etiquetado y la agrupación de los recursos en función de su naturaleza de servicio, ubicación u otras características. Asegúrese de que su organización de seguridad tiene acceso a un inventario actualizado continuamente de los recursos.

Asegúrese de que su organización de seguridad puede supervisar los riesgos de los recursos en la nube siempre teniendo información de seguridad y riesgos agregados de forma centralizada.

Guía de Azure: la característica de inventario de Microsoft Defender for Cloud y Azure Resource Graph pueden consultar y detectar todos los recursos de las suscripciones, incluidos los servicios de Azure, las aplicaciones y los recursos de red. Organice lógicamente los recursos según la taxonomía de su organización mediante etiquetas y otros metadatos en Azure (Nombre, Descripción y Categoría).

Asegúrese de que las organizaciones de seguridad tengan acceso a un inventario actualizado continuamente de los recursos en Azure. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para mejorar la seguridad continua.

Asegúrese de que a las organizaciones de seguridad se les conceden permisos de lector de seguridad en su inquilino y suscripciones de Azure para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender for Cloud. Los permisos de lector de seguridad se pueden aplicar ampliamente a un inquilino completo (grupo de administración raíz) o tener como ámbito grupos de administración o suscripciones específicas.

Guía de GCP: use Google Cloud Asset Inventory para proporcionar servicios de inventario utilizando una base de datos de series temporales. Esta base de datos mantiene un historial de cinco semanas de metadatos de los recursos de la Plataforma Google Cloud (GCP). El servicio de exportación de Inventario de activos en la nube le permite exportar todos los metadatos de recursos en una determinada marca de tiempo o exportar el historial de cambios de eventos durante un período de tiempo.

Además, Google Cloud Security Command Center admite una convención de nomenclatura diferente. Los activos son recursos de Google Cloud de una organización. Los roles de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. La capacidad de ver, crear o actualizar los resultados, los recursos y la fuente de seguridad depende del nivel para el que se le haya otorgado acceso.

Implementación de GCP y contexto adicional:

• Inventario de recursos en la nube
• Introducción al inventario de recursos en la nube
• Tipos de recursos admitidos en Security Command Center

Implementación de Azure y más contexto:

• Creación de consultas con Azure Resource Graph Explorer
• Administración del inventario de recursos de Microsoft Defender for Cloud
• Para más información sobre el etiquetado de recursos, consulte la guía de decisión de nomenclatura y etiquetado de recursos.
• Información general sobre el rol de lector de seguridad

Guía de AWS: use la característica inventario de AWS Systems Manager para consultar y detectar todos los recursos de las instancias ec2, incluidos los detalles del nivel de aplicación y del sistema operativo. Además, use AWS Resource Groups - Tag Editor para examinar los inventarios de recursos de AWS.

Organice lógicamente los recursos según la taxonomía de su organización mediante etiquetas y otros metadatos en AWS (Nombre, Descripción y Categoría).

Asegúrese de que las organizaciones de seguridad tengan acceso a un inventario actualizado continuamente de los recursos en AWS. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para mejorar la seguridad continua.

Implementación de AWS y contexto adicional:

• Inventario de AWS Systems Manager
• Grupos de recursos y etiquetas de AWS

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Administración del cumplimiento de la seguridad

AM-2: Usar solo servicios aprobados

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, PM-5	6.3

Principio de seguridad: asegúrese de que solo se pueden usar los servicios en la nube aprobados, mediante la auditoría y restricción de los servicios que los usuarios pueden implementar en el entorno.

Guía de Azure: use Azure Policy para auditar y restringir los servicios que los usuarios pueden implementar en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de sus suscripciones. También puede usar Azure Monitor para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Implementación de Azure y más contexto:

• Configuración y administración de Azure Policy
• Cómo denegar un tipo de recurso específico con Azure Policy
• Creación de consultas con Azure Resource Graph Explorer

Guía de AWS: use AWS Config para auditar y restringir los servicios que los usuarios pueden implementar en su entorno. Use grupos de recursos de AWS para consultar y detectar recursos dentro de sus cuentas. También puede usar CloudWatch o AWS Config para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Implementación de AWS y contexto adicional:

• Grupos de recursos de AWS

Guía de GCP: use el servicio de directivas de la organización de Google Cloud para auditar y restringir los servicios que los usuarios pueden implementar en su entorno. También puede usar la supervisión en la nube en Operations Suite o la directiva de organización para crear reglas para desencadenar alertas cuando se detecta un servicio no aprobado.

Implementación de GCP y contexto adicional:

• Introducción al servicio de directivas de la organización
• Creación y administración de directivas de organización

Partes interesadas de la seguridad del cliente (más información):

• Administración del cumplimiento de la seguridad
• Administración de posturas

AM-3: Garantizar la seguridad de la administración del ciclo de vida de los activos

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
1.1, 2.1	CM-8, CM-7	2,4

Principio de seguridad: asegúrese de que los atributos de seguridad o las configuraciones de los recursos siempre se actualizan durante el ciclo de vida de los recursos.

Guía de Azure: establezca o actualice directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para las modificaciones. Estas modificaciones incluyen cambios en los proveedores de identidades y el acceso, el nivel de confidencialidad de datos, la configuración de red y la asignación de privilegios administrativos.

Identifique y quite los recursos de Azure cuando ya no sean necesarios.

Implementación de Azure y contexto adicional:

• Eliminación de un grupo de recursos y un recurso de Azure

Guía de AWS: establezca o actualice las directivas o procesos de seguridad que aborden los procesos de administración del ciclo de vida de los recursos para las modificaciones. Estas modificaciones incluyen cambios en los proveedores de identidades y el acceso, el nivel de confidencialidad de datos, la configuración de red y la asignación de privilegios administrativos.

Identifique y quite los recursos de AWS cuando ya no sean necesarios.

Implementación de AWS y contexto adicional:

• ¿Cómo se comprueban los recursos activos que ya no necesito en mi cuenta de AWS?
• ¿Cómo puedo terminar los recursos activos que ya no necesito en mi cuenta de AWS?

Guía de GCP: establezca o actualice las directivas/procesos de seguridad que aborden la gestión del ciclo de vida de los activos para las modificaciones. Estas modificaciones incluyen cambios en proveedores de identidades y acceso, datos confidenciales, configuración de red y evaluación de privilegios administrativos. Utilice el Centro de Seguridad de Google Cloud y compruebe la pestaña de Cumplimiento para los activos en riesgo.

Además, use la limpieza automatizada de proyectos de Google Cloud sin usar y el servicio Recomendador de nube para proporcionar recomendaciones e información sobre el uso de recursos en Google Cloud. Estas recomendaciones e información son por producto o por servicio y se generan en función de métodos heurísticos, aprendizaje automático y uso actual de recursos.

Implementación de GCP y contexto adicional:

• Recomendador de nube
• Limpieza automatizada de proyectos de Google Cloud sin usar.

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Administración de posturas
• Administración del cumplimiento de la seguridad

AM-4: Limitar el acceso a la administración de activos

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
3.3	AC-3	No disponible

Principio de seguridad: limite el acceso de los usuarios a las características de administración de recursos para evitar modificaciones accidentales o malintencionadas de los recursos en la nube.

Guía de Azure: Azure Resource Manager es el servicio de implementación y administración de Azure. Proporciona una capa de administración que permite crear, actualizar y eliminar recursos (recursos) en Azure. Use el acceso condicional de Microsoft Entra para limitar la capacidad de los usuarios de interactuar con Azure Resource Manager mediante la configuración de "Bloquear el acceso" para la aplicación "Administración de Microsoft Azure".

Use el control de acceso basado en rol (RBAC) de Azure para asignar roles a identidades para controlar sus permisos y acceso a los recursos de Azure. Por ejemplo, un usuario con solo el rol "Lector" de Azure RBAC puede ver todos los recursos, pero no puede realizar ningún cambio.

Use bloqueos de recursos para evitar eliminaciones o modificaciones en los recursos. Los bloqueos de recursos se administran a través de Azure Blueprints.

Implementación de Azure y contexto adicional:

• Configuración del acceso condicional para bloquear el acceso a Azure Resources Manager
• Bloquee sus recursos para proteger su infraestructura
• Protección de nuevos recursos con bloqueos de recursos de Azure Blueprints

Guía de AWS: use AWS IAM para restringir el acceso a un recurso específico. Puede especificar acciones permitidas o denegadas, así como las condiciones en las que se desencadenan las acciones. Puede especificar una condición o combinar métodos como permisos a nivel de recurso, políticas basadas en recursos, autorización basada en etiquetas, credenciales temporales o roles vinculados al servicio para tener un control de acceso detallado para sus recursos.

Implementación de AWS y contexto adicional:

• Servicios de AWS que funcionan con IAM

Guía de GCP: use Google Cloud Identity and Access Management (IAM) para restringir el acceso a recursos específicos. Puede especificar acciones y condiciones permitidas o denegadas en las que se desencadenan las acciones. Puede especificar una condición o métodos combinados de permisos de nivel de recurso, directivas basadas en recursos, autorización basada en etiquetas, credenciales temporales o roles vinculados al servicio para tener controles de acceso de control específicos para los recursos.

Además, puede usar controles de servicio vpc para protegerse frente a acciones accidentales o dirigidas por entidades externas o entidades internas, lo que ayuda a minimizar los riesgos de filtración de datos no justificados de los servicios de Google Cloud. Puede usar los controles de servicio de VPC para crear perímetros que protejan los recursos y los datos de los servicios que especifique explícitamente.

Implementación de GCP y contexto adicional:

• Administración de identidades y acceso (IAM)
• Introducción a los controles de servicio de VPC
• Resource Manager

Partes interesadas de la seguridad del cliente (más información):

• Administración de posturas
• Seguridad de la infraestructura y del punto de conexión

AM-5: Usar solo aplicaciones aprobadas en la máquina virtual

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, CM-7, CM-10, CM-11	6.3

Principio de seguridad: asegúrese de que solo se ejecute el software autorizado mediante la creación de una lista de permitidos y bloquee la ejecución del software no autorizado en su entorno.

Guía de Azure: use los controles de aplicaciones adaptables de Microsoft Defender for Cloud para detectar y generar una lista de aplicaciones permitidas. También puede usar controles de aplicaciones adaptables de ASC para asegurarse de que solo el software autorizado se pueda ejecutar y que todo el software no autorizado se bloquee para ejecutarse en Azure Virtual Machines.

Utiliza Seguimiento de Cambios e Inventario de Azure Automation para automatizar la recopilación de información de inventario de las máquinas virtuales Windows y Linux. La información sobre el nombre del software, la versión, el publicador y la hora de actualización están disponibles en Azure Portal. Para obtener la fecha de instalación de software y otra información, habilite el diagnóstico de nivel de invitado y dirija los registros de eventos de Windows a un área de trabajo de Log Analytics.

Según el tipo de scripts, puede usar configuraciones específicas del sistema operativo o recursos externos para limitar la capacidad de los usuarios de ejecutar scripts en recursos de proceso de Azure.

También puede usar una solución externa para detectar e identificar software no aprobado.

Implementación de Azure y contexto adicional:

• Uso de controles de aplicaciones adaptables de Microsoft Defender for Cloud
• Descripción del seguimiento de cambios e inventario de Azure Automation
• Cómo controlar la ejecución de scripts de PowerShell en entornos de Windows

Guía de GCP: use Google Cloud VM Manager para detectar las aplicaciones instaladas en las instancias de Compute Engine. El inventario del sistema operativo y la administración de configuración se pueden usar para asegurarse de que se bloquea la ejecución de software no autorizado en instancias del motor de proceso.

También puede usar una solución externa para detectar e identificar software no aprobado.

Implementación de GCP y contexto adicional:

• Administrador de máquinas virtuales
• Administración de la configuración del sistema operativo

Guía de AWS: utilice la característica de inventario de AWS Systems Manager para descubrir las aplicaciones instaladas en sus instancias EC2. Utilice las reglas de AWS Config para garantizar que el software no autorizado sea bloqueado para su ejecución en instancias EC2.

También puede usar una solución externa para detectar e identificar software no aprobado.

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Administración de posturas
• Administración del cumplimiento de la seguridad

Control de seguridad: copia de seguridad y recuperación

Controles de copia de seguridad y recuperación para asegurarse de que las copias de seguridad de datos y configuraciones en los distintos niveles de servicio se realicen, validen y protejan.

BR-2: Proteger los datos de copia de seguridad y recuperación

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
11.3	CP-6, CP-9	3.4

Principio de seguridad: asegúrese de que los datos y las operaciones de copia de seguridad están protegidos contra la filtración de datos, los datos en peligro, ransomware/malware y usuarios internos malintencionados. Los controles de seguridad que se deben aplicar incluyen el control de acceso de usuario y red, el cifrado de datos en reposo y en tránsito.

Guía de Azure: use la autenticación multifactor y Azure RBAC para proteger las operaciones críticas de Azure Backup (como la eliminación, la retención de cambios, las actualizaciones de la configuración de copia de seguridad). Para los recursos admitidos en Azure Backup, use Azure RBAC para separar las tareas y habilitar el acceso específico, y cree puntos de conexión privados dentro de Azure Virtual Network para realizar copias de seguridad y restaurar datos de forma segura desde los almacenes de Recovery Services.

En el caso de los recursos compatibles con Azure Backup, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma Azure con cifrado AES de 256 bits. También puede optar por cifrar las copias de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que la clave administrada por el cliente en Azure Key Vault también está en el ámbito de copia de seguridad. Si usa una clave administrada por el cliente, use la eliminación temporal y la protección de purga en Azure Key Vault para proteger las claves frente a la eliminación accidental o malintencionada. Para las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la contraseña que proporcione.

Proteja los datos de copia de seguridad de la eliminación accidental o malintencionada, como ataques de ransomware o intentos de cifrar o alterar los datos de copia de seguridad. En el caso de los recursos compatibles con Azure Backup, habilite la eliminación temporal para garantizar la recuperación de elementos sin pérdida de datos durante un máximo de 14 días después de una eliminación no autorizada y habilitar la autenticación multifactor mediante un PIN generado en Azure Portal. Habilite también el almacenamiento con redundancia geográfica o la restauración entre regiones para asegurarse de que los datos de copia de seguridad se pueden restaurar cuando se produce un desastre en la región primaria. También puede habilitar el almacenamiento con redundancia de zona (ZRS) para asegurarse de que las copias de seguridad se pueden restaurar durante los errores zonales.

Implementación de Azure y contexto adicional:

• Introducción a las características de seguridad en Azure Backup
• Cifrado de datos de copia de seguridad mediante claves administradas por el cliente
• Características de seguridad para ayudar a proteger las copias de seguridad híbridas frente a ataques
• Azure Backup - configurar restauración entre regiones

Guía de AWS: Use el control de acceso de AWS IAM para proteger AWS Backup. Proteja siempre el acceso al servicio AWS Backup y los puntos de copia de seguridad y restauración. Los controles de ejemplo incluyen:

• Use la autenticación multifactor (MFA) para operaciones críticas, como la eliminación de un punto de copia de seguridad o restauración.
• Utilice Capa de sockets seguros (SSL)/Seguridad de la capa de transporte (TLS) para comunicarse con los recursos de AWS.
• Use AWS KMS con AWS Backup para cifrar los datos de copia de seguridad mediante CMK administrado por el cliente o una CMK administrada por AWS asociada al servicio AWS Backup.
• Use el bloqueo de AWS Backup Vault para el almacenamiento inmutable de datos críticos.
• Proteja los cubos de S3 mediante la política de acceso, deshabilitando el acceso público, aplicando el cifrado de datos en reposo y el control de versiones.

Implementación de AWS y contexto adicional:

• Seguridad en AWS Backup
• Procedimientos recomendados de seguridad de para Amazon S3

Guía de GCP: use cuentas dedicadas con la autenticación más segura para realizar operaciones críticas de copia de seguridad y recuperación, como la eliminación, la retención de cambios, las actualizaciones de la configuración de copia de seguridad. Las cuentas dedicadas protegen los datos de copia de seguridad de la eliminación accidental o malintencionada, como ataques de ransomware o intentos de cifrar o alterar los datos de copia de seguridad.

Para los recursos compatibles con GCP Backup, utilice Google IAM con roles y permisos para separar las tareas y habilitar el acceso específico, y configure una conexión de acceso de servicios privados a VPC para realizar copias de seguridad y restaurar datos de forma segura desde el aparato Backup/Recovery.

Los datos de copia de seguridad se cifran automáticamente de forma predeterminada en el nivel de plataforma mediante el algoritmo estándar de cifrado avanzado (AES), AES-256.

Implementación de GCP y contexto adicional:

• Directivas de retención y bloqueos de directivas de retención
• servicio de copia de seguridad y recuperación ante desastres
• Evitar la eliminación accidental de máquinas virtuales

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Seguridad de la infraestructura y del punto de conexión
• Preparación de incidentes

Control de seguridad: protección de datos

La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, como la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y la administración de certificados.

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
3.13	AC-4, SI-4	A3.2

Principio de seguridad: supervise las anomalías en torno a datos confidenciales, como la transferencia no autorizada de datos a ubicaciones fuera de la visibilidad y el control de la empresa. Está supervisando actividades anómalas (transferencias grandes o inusuales) que podrían indicar la filtración de datos no autorizadas.

Guía de Azure: utilice Azure Information Protection (AIP) para supervisar los datos clasificados y etiquetados.

Use Microsoft Defender para Storage, Microsoft Defender para SQL, Microsoft Defender para bases de datos relacionales de código abierto y Microsoft Defender para Cosmos DB para alertar sobre la transferencia anómala de información que podría indicar transferencias no autorizadas de información confidencial.

Implementación de Azure y contexto adicional:

• Habilitación de Azure Defender para SQL
• Habilitación de Azure Defender para Storage
• Habilitar Microsoft Defender para Azure Cosmos DB
• Habilite Microsoft Defender para bases de datos relacionales de código abierto y responda a las alertas

Guía de AWS: use AWS Macie para supervisar los datos clasificados y etiquetados, y use GuardDuty para detectar actividades anómalas en algunos recursos (recursos S3, EC2 o Kubernetes o IAM). Los resultados y las alertas se pueden evaluar, analizar y realizar un seguimiento mediante EventBridge y reenviarse a Microsoft Sentinel o al Centro de seguridad para la agregación y el seguimiento de incidentes.

También puede conectar sus cuentas de AWS a Microsoft Defender for Cloud para comprobar el cumplimiento, la seguridad de los contenedores y las funcionalidades de seguridad de los puntos de conexión.

Implementación de AWS y contexto adicional:

• Tipos de búsqueda de GuardDuty S3
• Protección de Amazon S3 en Amazon GuardDuty

Guía de GCP: Use Google Cloud Security Command Center, Event Threat Detection y Anomaly Detection para alertar sobre transferencias anómalas de información que podrían indicar transferencias no autorizadas de datos confidenciales.

También puede conectar las cuentas de GCP a Microsoft Defender for Cloud para comprobar el cumplimiento, la seguridad de los contenedores y las funcionalidades de seguridad de los puntos de conexión.

Implementación de GCP y contexto adicional:

• Información general sobre la detección de amenazas de eventos
• Detección de anomalías mediante análisis de streaming e inteligencia artificial
• Detección de anomalías

Partes interesadas de la seguridad del cliente (más información):

• Operaciones de seguridad
• Seguridad de aplicaciones y DevOps
• Seguridad de la infraestructura y del punto de conexión

DP-3: Cifrar datos confidenciales en tránsito

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
3.10	SC-8	3.5, 3.6, 4.1

Principio de seguridad: proteja los datos en tránsito contra ataques "fuera de banda" (como la captura de tráfico) mediante cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

Establezca el límite de red y el ámbito de servicio donde el cifrado de datos en tránsito es obligatorio tanto dentro como fuera de la red. Aunque esto es opcional para el tráfico en redes privadas, esto es fundamental para el tráfico en redes públicas y externas.

Guía de Azure: aplique el uso de transferencia segura en servicios como Azure Storage, donde se integra una funcionalidad nativa de cifrado de datos en tránsito.

Aplique HTTPS para cargas de trabajo y servicios de aplicaciones web asegurándose de que los clientes que se conectan a los recursos de Azure usan la seguridad de la capa de transporte (TLS) v1.2 o posterior. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

Para la administración remota de Azure Virtual Machines, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia de archivos segura, use el servicio SFTP/FTPS en blobs de Azure Storage, aplicaciones de App Service y aplicaciones de funciones, en lugar de usar el servicio FTP normal.

Implementación de Azure y contexto adicional:

• Cifrado doble para datos de Azure en tránsito
• Comprender el cifrado en tránsito con Azure
• Información sobre la seguridad de TLS
• Aplicación de una transferencia segura en Azure Storage

Guía de AWS: aplique la transferencia segura en servicios como Amazon S3, RDS y CloudFront, donde se integra una característica nativa de cifrado de datos en tránsito.

Aplique HTTPS (como en AWS Elastic Load Balancer) para servicios y aplicaciones web de carga de trabajo (ya sea en el lado servidor o en el lado cliente) asegurándose de que los clientes que se conectan a los recursos de AWS usen TLS v1.2 o posterior.

Para la administración remota de instancias EC2, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia segura de archivos, use el servicio SFTP o FTPS de AWS Transfer en lugar de un servicio FTP normal.

Implementación de AWS y contexto adicional:

• Políticas de seguridad TLS en Elastic Load Balancer
• AWS Transfer SFTP y FTPS

Guía de GCP: Haga cumplir la transferencia segura en servicios como Google Cloud Storage, donde se incorpora una característica nativa de cifrado de datos en tránsito.

Aplique HTTPS para cargas de trabajo y servicios de aplicaciones web, lo que garantiza que los clientes que se conectan a los recursos de GCP usen la seguridad de la capa de transporte (TLS) v1.2 o posterior.

Para la administración remota, Google Cloud Compute Engine usa SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia segura de archivos, use el servicio SFTP/FTPS en servicios como Google Cloud Big Query o Cloud App Engine en lugar de un servicio FTP normal.

Implementación de GCP y contexto adicional:

• Cifrado en tránsito
• Cifrado en tránsito en Google Cloud

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Seguridad de la infraestructura y del punto de conexión
• Seguridad de aplicaciones y DevOps
• Seguridad de datos

DP-6: Uso de un proceso seguro de administración de claves

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
No disponible	IA-5, SC-12, SC-28	3,6

Principio de seguridad: documente e implemente un estándar de administración de claves criptográficas de empresa, procesos y procedimientos para controlar el ciclo de vida de las claves. Cuando sea necesario usar la clave administrada por el cliente en los servicios, use un servicio de almacén de claves protegido para la generación, distribución y almacenamiento de claves. Gire y revoque las claves en función de la programación definida y cuando haya una retirada o peligro de claves.

Guía de Azure: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de la programación definida y cuando haya una retirada o peligro de claves. Requerir un determinado tipo criptográfico y un tamaño mínimo de clave al generar claves.

Cuando sea necesario usar la clave administrada por el cliente (CMK) en los servicios de carga de trabajo o las aplicaciones, asegúrese de seguir los procedimientos recomendados:

• Utilice una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con su clave de cifrado de claves (KEK) en su almacén de claves.
• Asegúrese de que las claves están registradas con Azure Key Vault e implementadas a través de identificadores de clave en cada servicio o aplicación.

Para maximizar la duración y portabilidad del material clave, traiga su propia clave (BYOK) a los servicios (es decir, importar claves protegidas con HSM desde los HSM locales en Azure Key Vault). Siga las directrices recomendadas para realizar la generación de claves y la transferencia de claves.

• Claves protegidas por software en almacenes (SKU Premium y Estándar): FIPS 140-2 Nivel 1
• Claves protegidas con HSM en almacenes (SKU Premium): FIPS 140-2 Nivel 2
• Claves protegidas con HSM en HSM administrado: FIPS 140-2 Nivel 3

Azure Key Vault Premium usa una infraestructura de HSM compartida en el back-end. HSM administrado de Azure Key Vault usa puntos de conexión de servicio dedicados y confidenciales con un HSM dedicado para cuando se necesita un mayor nivel de seguridad de claves.

Implementación de Azure y contexto adicional:

• Introducción a Azure Key Vault
• Jerarquía de claves de cifrado de datos de Azure en reposo
• Especificación BYOK (Bring Your Own Key)

Guía de AWS: Use AWS Key Management Service (KMS) para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y almacenamiento de claves. Gire y revoque las claves en KMS y el servicio en función de la programación definida y cuando haya una retirada o riesgo clave.

Cuando sea necesario usar la clave principal del cliente administrada por el cliente en los servicios o aplicaciones de carga de trabajo, asegúrese de seguir los procedimientos recomendados:

• Utilice una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con su clave de cifrado de clave (KEK) en su KMS.
• Asegúrese de que las claves se registran con KMS e implementan mediante directivas de IAM en cada servicio o aplicación.

Para maximizar la vida útil y portabilidad del material clave, lleve su propia clave (BYOK) a los servicios (es decir, importar claves protegidas con Módulo de Seguridad de Hardware (HSM) desde los HSM locales a KMS o HSM en la nube). Siga las directrices recomendadas para realizar la generación de claves y la transferencia de claves.

Consulte la lista del nivel FIPS 140-2 para el nivel de cumplimiento de FIPS en AWS KMS y CloudHSM:

• Valor predeterminado de AWS KMS: FIPS 140-2 nivel 2 validado
• AWS KMS con CloudHSM: FIPS 140-2 nivel 3 (para determinados servicios) validados
• AWS CloudHSM: Validado según FIPS 140-2 Nivel 3

Implementación de AWS y contexto adicional:

• CMK administrados por AWS y administrados por el cliente
• Importación de material de claves para las claves de AWS KMS
• Transferencia segura de claves a CloudHSM
• Creación de un almacén de claves personalizado respaldado por CloudHSM

Guía de GCP: use el Servicio de gestión de claves en la nube de Google (Cloud KMS) para crear y administrar los ciclos de vida de las claves de cifrado en los servicios de Google Cloud compatibles y en las aplicaciones de su carga de trabajo. Gire y revoque las claves en KMS en la nube y el servicio en función de la programación definida y cuando haya una retirada o peligro clave.

Use el servicio HSM en la nube de Google para proporcionar claves respaldadas por hardware al KMS en la nube (servicio de administración de claves) Le ofrece la capacidad de administrar y usar sus propias claves criptográficas mientras está protegida por módulos de seguridad de hardware (HSM) totalmente administrados.

El servicio HSM en la nube utiliza los HSMs, que están validados por FIPS 140-2 Nivel 3 y siempre operan en modo FIPS. FIPS 140-2 Nivel 3 validado y siempre se ejecutan en modo FIPS. El estándar FIPS especifica los algoritmos criptográficos y la generación de números aleatorios que usan los HSM.

Implementación de GCP y contexto adicional:

• Introducción al servicio De administración de claves en la nube
• Claves de cifrado administradas por el cliente (CMEK)
• HSM en la nube

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Seguridad de aplicaciones y DevOps
• Seguridad de datos

DP-7: Uso de un proceso de administración de certificados seguro

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
No disponible	IA-5, SC-12, SC-17	3,6

Principio de seguridad: documente e implemente un estándar de administración de certificados empresariales, procesos y procedimientos que incluyan el control del ciclo de vida del certificado y las directivas de certificado (si se necesita una infraestructura de clave pública).

Asegúrese de que los certificados utilizados por los servicios críticos de su organización se inventaríen, se supervisen, se controlen y se renueven oportunamente mediante un mecanismo automatizado para evitar la interrupción del servicio.

Guía de Azure: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación o importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados siga el estándar definido sin utilizar propiedades inseguras, como un tamaño de clave insuficiente, un período de validez excesivamente largo, criptografía insegura, etc. Configure la rotación automática del certificado en Azure Key Vault y los servicios de Azure admitidos en función de la programación definida y cuando expire un certificado. Si no se admite la rotación automática en la aplicación de front-end, use una rotación manual en Azure Key Vault.

Evite usar un certificado autofirmado y un certificado comodín en los servicios críticos debido a la garantía de seguridad limitada. En su lugar, puede crear certificados firmados públicos en Azure Key Vault. Las siguientes entidades de certificación (CA) son los proveedores asociados que están integrados actualmente con Azure Key Vault.

• DigiCert: Azure Key Vault ofrece certificados TLS/SSL de validación de dominio (OV) con DigiCert.
• GlobalSign: Azure Key Vault ofrece certificados TLS/SSL de validación de dominio (OV) con GlobalSign.

Implementación de Azure y contexto adicional:

• Introducción a los certificados de Key Vault
• Control de acceso de certificados en Azure Key Vault

Guía de AWS: use AWS Certificate Manager (ACM) para crear y controlar el ciclo de vida del certificado, incluida la creación o importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados siga el estándar definido sin utilizar propiedades inseguras, como un tamaño de clave insuficiente, un período de validez excesivamente largo, criptografía insegura, etc. Configure la rotación automática del certificado en ACM y los servicios de AWS admitidos en función de la programación definida y cuando expire un certificado. Si no se admite la rotación automática en la aplicación de front-end, use la rotación manual en ACM. Mientras tanto, siempre debe realizar un seguimiento del estado de renovación del certificado para garantizar la validez del certificado.

Evite usar un certificado autofirmado y un certificado comodín en los servicios críticos debido a la garantía de seguridad limitada. En su lugar, cree certificados firmados públicamente (firmados por la entidad de certificación de Amazon) en ACM e impleméntelos mediante programación en servicios como CloudFront, Load Balancers, API Gateway, etc. También puede usar ACM para establecer su entidad de certificación privada (CA) para firmar los certificados privados.

Implementación de AWS y contexto adicional:

• AWS Certificate Manager: comprobación del estado de renovación de un certificado

Guía de GCP: use Google Cloud Certificate Manager para crear y controlar el ciclo de vida del certificado, incluida la creación o importación, la rotación, la revocación, el almacenamiento y la purga del certificado. Asegúrese de que la generación de certificados siga el estándar definido sin utilizar propiedades inseguras, como un tamaño de clave insuficiente, un período de validez excesivamente largo, criptografía insegura, etc. Configure la rotación automática del certificado en el Administrador de certificados y los servicios GCP admitidos en función de la programación definida y cuando expire un certificado. Si no se admite la rotación automática en la aplicación de front-end, use la rotación manual en el Administrador de certificados. Mientras tanto, siempre debe realizar un seguimiento del estado de renovación del certificado para garantizar la validez del certificado.

Evite usar un certificado autofirmado y un certificado comodín en los servicios críticos debido a la garantía de seguridad limitada. En su lugar, puede crear certificados públicos firmados en el Administrador de certificados e implementarlos mediante programación en servicios como Load Balancer y DNS en la nube, etc. También puede usar el servicio de entidad de certificación para establecer la entidad de certificación privada (CA) para firmar los certificados privados.

Implementación de GCP y contexto adicional:

• Servicio de entidad de certificación
• Administrador de Certificados

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de aplicaciones y DevOps
• Seguridad de datos

DP-8: Garantizar la seguridad del repositorio de claves y certificados

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
No disponible	IA-5, SC-12, SC-17	3,6

Principio de seguridad: asegúrese de la seguridad del servicio de bóveda de claves utilizado para la gestión del ciclo de vida de claves criptográficas y certificados. Fortalezca su servicio de almacén de claves mediante el control de acceso, la seguridad de la red, el registro y la supervisión, y las copias de seguridad para garantizar que las claves y los certificados estén siempre protegidos con la máxima seguridad.

Guía de Azure: proteja las claves criptográficas y los certificados mediante la protección del servicio Azure Key Vault mediante los siguientes controles:

• Implemente el control de acceso mediante directivas de RBAC en el HSM administrado de Azure Key Vault a nivel de clave para asegurarse de que se siguen los principios de privilegio mínimo y separación de funciones. Por ejemplo, asegúrese de que la separación de tareas esté en vigor para los usuarios que administran claves de cifrado para que no tengan la capacidad de acceder a los datos cifrados y viceversa. En el caso de Azure Key Vault Estándar y Premium, cree almacenes únicos para diferentes aplicaciones para garantizar que se sigan los principios de privilegio mínimo y separación de funciones.
• Active el registro de Azure Key Vault para asegurarse de que se registran las actividades críticas del plano de administración y del plano de datos.
• Protección de Azure Key Vault mediante Private Link y Azure Firewall para garantizar una exposición mínima del servicio
• Use la identidad administrada para acceder a las claves almacenadas en Azure Key Vault en las aplicaciones de carga de trabajo.
• Al purgar datos, asegúrese de que las claves no se eliminan antes de purgar los datos reales, las copias de seguridad y los archivos.
• Realice una copia de seguridad de las claves y los certificados mediante Azure Key Vault. Habilite la eliminación temporal y la protección contra purga para evitar la eliminación accidental de claves. Cuando es necesario eliminar las claves, considere la posibilidad de deshabilitar las claves en lugar de eliminarlas para evitar la eliminación accidental de claves y la eliminación criptográfica de los datos.
• Para casos de uso de bring your own key (BYOK), genere claves en un HSM local e impórtelas para maximizar la duración y portabilidad de las claves.
• Nunca almacene claves en formato de texto no cifrado fuera de Azure Key Vault. Las claves en todos los servicios de almacén de claves no son exportables de forma predeterminada.
• Use los tipos de clave respaldados por HSM (RSA-HSM) en Azure Key Vault Premium y Azure Managed HSM para la protección de hardware y los niveles de FIPS más seguros.

Habilite Microsoft Defender para Key Vault, proporcionando protección nativa de Azure contra amenazas avanzadas para Azure Key Vault y una capa adicional de inteligencia de seguridad.

Implementación de Azure y contexto adicional:

• Introducción a Azure Key Vault
• Procedimientos recomendados de seguridad de Azure Key Vault
• Uso de la identidad administrada para acceder a Azure Key Vault
• Introducción a Microsoft Defender para Key Vault

Guía de AWS: para la seguridad de las claves criptográficas, proteja las claves mediante la protección del servicio AWS Key Management Service (KMS) mediante los siguientes controles:

• Implemente el control de acceso mediante políticas de clave (control de acceso a nivel de clave) con políticas de IAM (control de acceso basado en identidad) para garantizar que se sigan los principios de mínimos privilegios y separación de funciones. Por ejemplo, asegúrese de que la separación de tareas esté en vigor para los usuarios que administran claves de cifrado para que no tengan la capacidad de acceder a los datos cifrados y viceversa.
• Use controles de detective como CloudTrails para registrar y realizar un seguimiento del uso de claves en KMS y avisarle de las acciones críticas.
• Nunca almacene claves en formato de texto no cifrado fuera de KMS.
• Cuando es necesario eliminar las claves, considere la posibilidad de deshabilitar las claves en KMS en lugar de eliminarlas para evitar la eliminación accidental de claves y la eliminación criptográfica de los datos.
• Al purgar datos, asegúrese de que las claves no se eliminan antes de purgar los datos reales, las copias de seguridad y los archivos.
• En los casos de uso de "bring your own key" (BYOK), genere claves en un HSM local e impórtelas para maximizar la duración y la portabilidad de las claves.

Para la seguridad de los certificados, proteja los certificados mediante la protección del servicio AWS Certificate Manager (ACM) a través de los siguientes controles:

• Implemente el control de acceso mediante políticas a nivel de recurso con políticas de IAM (control de acceso basado en identidad) para garantizar que se respeten los principios de privilegio mínimo y separación de funciones. Por ejemplo, asegúrese de que la separación de tareas está en vigor para las cuentas de usuario: las cuentas de usuario que generan certificados son independientes de las cuentas de usuario que solo requieren acceso de solo lectura a los certificados.
• Use controles de detective como CloudTrails para registrar y realizar un seguimiento del uso de los certificados en ACM y avisarle de las acciones críticas.
• Siga las instrucciones de seguridad de KMS para proteger la clave privada (generada para la solicitud de certificado) que se usa para la integración de certificados de servicio.

Implementación de AWS y contexto adicional:

• Procedimiento recomendado de seguridad para AWS Key Management Service
• Seguridad en AWS Certificate Manager

Guía de GCP: para la seguridad de las claves criptográficas, proteja las claves mediante la protección del servicio de administración de claves mediante los siguientes controles:

• Implemente el control de acceso mediante roles de IAM para garantizar que se sigan los principios de mínimo privilegio y separación de funciones. Por ejemplo, asegúrese de que la separación de tareas esté en vigor para los usuarios que administran claves de cifrado para que no tengan la capacidad de acceder a los datos cifrados y viceversa.
• Cree un anillo de claves independiente para cada proyecto que le permita administrar y controlar fácilmente el acceso a las claves siguiendo el procedimiento recomendado de privilegios mínimos. También facilita la auditoría de quién tiene acceso a las claves en el momento.
• Active la rotación automática de claves para asegurarse de que las claves se actualizan y se renuevan periódicamente. Esto ayuda a protegerse frente a posibles amenazas de seguridad, como ataques por fuerza bruta o actores malintencionados que intentan obtener acceso a información confidencial.
• Configure un receptor de registro de auditoría para rastrear todas las actividades que se producen en el entorno de KMS de GCP.

Para la seguridad de los certificados, asegure sus certificados mediante el endurecimiento del Administrador de Certificados de GCP y el Servicio de Autoridad de Certificación a través de los siguientes controles:

• Implemente el control de acceso mediante políticas de nivel de recurso con políticas de IAM (control de acceso basado en identidad) para garantizar que se siguen los principios de privilegios mínimos y separación de funciones. Por ejemplo, asegúrese de que la separación de tareas está en vigor para las cuentas de usuario: las cuentas de usuario que generan certificados son independientes de las cuentas de usuario que solo requieren acceso de solo lectura a los certificados.
• Use controles de detective como Registros de auditoría en la nube para registrar y realizar un seguimiento del uso de los certificados en el Administrador de certificados y avisarle de las acciones críticas.
• Secret Manager también admite el almacenamiento del certificado TLS. Debe seguir la práctica de seguridad similar para implementar los controles de seguridad en Secret Manager.

Implementación de GCP y contexto adicional:

• Controles de acceso del servicio De administración de claves en la nube
• Administrador de Certificados

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Seguridad de aplicaciones y DevOps
• Seguridad de datos

Control de seguridad: seguridad de los puntos de conexión

La seguridad de los puntos de conexión abarca los controles de detección y respuesta de puntos de conexión, como el uso de detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para puntos de conexión en entornos en la nube.

ES-1: uso de la detección y respuesta de puntos de conexión (EDR)

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
13,7	SC-3, SI-2, SI-3, SI-16	11.5

Principio de seguridad: habilite las funcionalidades de detección y respuesta de puntos de conexión (EDR) para las máquinas virtuales e integre con procesos de operaciones de seguridad y SIEM.

Guía de Azure: Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrado) proporciona funcionalidad EDR para evitar, detectar, investigar y responder a amenazas avanzadas.

Use Microsoft Defender for Cloud para implementar Microsoft Defender para servidores en los puntos de conexión e integrar las alertas en la solución SIEM, como Microsoft Sentinel.

Implementación de Azure y contexto adicional:

• Introducción a Azure Defender para servidores
• Descripción general de Microsoft Defender para los puntos de conexión
• Cobertura de características de Microsoft Defender for Cloud para máquinas
• Conector para la integración de Defender para Servidores en SIEM

Guía de AWS: incorpore su cuenta de AWS a Microsoft Defender for Cloud e implemente Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrado) en las instancias de EC2 para proporcionar funcionalidades de EDR para evitar, detectar, investigar y responder a amenazas avanzadas.

Como alternativa, use la funcionalidad de inteligencia sobre amenazas integrada de Amazon GuardDuty para supervisar y proteger las instancias EC2. Amazon GuardDuty puede detectar actividades anómalas, como la actividad que indica un riesgo de instancia, como la minería de criptomoneda, el malware mediante algoritmos de generación de dominio (DGAs), la actividad de denegación de servicio de salida, un volumen inusual de tráfico de red, protocolos de red inusuales, comunicación de instancia de salida con una dirección IP malintencionada conocida, credenciales temporales de Amazon EC2 que usan una dirección IP externa y filtración de datos mediante DNS.

Implementación de AWS y contexto adicional:

• Protección de los puntos de conexión con la solución EDR integrada de Defender for Cloud

Guía de GCP: incorpore el proyecto de GCP a Microsoft Defender for Cloud e implemente Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrado) en las instancias de máquina virtual para proporcionar funcionalidades de EDR para evitar, detectar, investigar y responder a amenazas avanzadas.

Como alternativa, use el Centro de comandos de seguridad de Google para la inteligencia sobre amenazas integrada para supervisar y proteger las instancias de la máquina virtual. Security Command Center puede detectar actividades anómalas, como credenciales potencialmente filtradas, minería de criptomoneda, aplicaciones potencialmente malintencionadas, actividad de red malintencionada, etc.

Implementación de GCP y contexto adicional:

• Proteja los puntos de conexión con la solución EDR integrada de Defender for Cloud:
• Introducción a Security Command Center:

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Inteligencia sobre amenazas
• Administración del cumplimiento de la seguridad
• Administración de posturas

ES-2: Usar software antimalware moderno

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
10.1	SC-3, SI-2, SI-3, SI-16	5,1

Principio de seguridad: use soluciones antimalware (también conocidas como endpoint protection) capaces de proteger en tiempo real y examinar periódicamente.

Guía de Azure: Microsoft Defender for Cloud puede identificar automáticamente el uso de muchas soluciones antimalware populares para las máquinas virtuales y las máquinas locales con Azure Arc configurado e informar del estado de ejecución de Endpoint Protection y realizar recomendaciones.

Microsoft Defender Antivirus es la solución antimalware predeterminada para Windows Server 2016 y versiones posteriores. Para Windows Server 2012 R2, use la extensión antimalware de Microsoft para habilitar SCEP (System Center Endpoint Protection). En el caso de máquinas virtuales Linux, use Microsoft Defender para punto de conexión en Linux para la característica Endpoint Protection.

Para Windows y Linux, puede usar Microsoft Defender for Cloud para detectar y evaluar el estado de mantenimiento de la solución antimalware.

Implementación de Azure y contexto adicional:

• Soluciones compatibles de protección de endpoints
• Configuración del antimalware de Microsoft para Cloud Services y máquinas virtuales

Guía de AWS: incorpore su cuenta de AWS a Microsoft Defender for Cloud para permitir que Microsoft Defender for Cloud identifique automáticamente el uso de algunas soluciones antimalware populares para instancias EC2 con Azure Arc configurado e informe del estado de ejecución de Endpoint Protection y realice recomendaciones.

Implemente Antivirus de Microsoft Defender que sea la solución antimalware predeterminada para Windows Server 2016 y versiones posteriores. En el caso de las instancias ec2 que ejecutan Windows Server 2012 R2, use la extensión antimalware de Microsoft para habilitar SCEP (System Center Endpoint Protection). En el caso de las instancias EC2 que ejecutan Linux, use Microsoft Defender para punto de conexión en Linux para la característica Endpoint Protection.

Para Windows y Linux, puede usar Microsoft Defender for Cloud para detectar y evaluar el estado de mantenimiento de la solución antimalware.

Implementación de AWS y contexto adicional:

• Hallazgo de GuardDuty EC2
• Soluciones de protección de puntos de conexión compatibles con Microsoft Defender
• Recomendaciones de Endpoint Protection en Microsoft Defender para nubes

Guía de GCP: integre sus proyectos de GCP en Microsoft Defender for Cloud para que pueda identificar automáticamente el uso de soluciones antimalware populares en las instancias de máquina virtual con Azure Arc configuradas, informar sobre el estado de la protección de endpoints y ofrecer recomendaciones.

Implemente Antivirus de Microsoft Defender que sea la solución antimalware predeterminada para Windows Server 2016 y versiones posteriores. En el caso de las instancias de máquina virtual que ejecutan Windows Server 2012 R2, use la extensión antimalware de Microsoft para habilitar SCEP (System Center Endpoint Protection). Para las instancias de máquinas virtuales que ejecutan Linux, utilice Microsoft Defender para puntos de conexión en Linux para la función de protección de puntos de conexión.

Para Windows y Linux, puede usar Microsoft Defender for Cloud para detectar y evaluar el estado de mantenimiento de la solución antimalware.

Implementación de GCP y contexto adicional:

• Soluciones de protección de puntos de conexión compatibles con Microsoft Defender:
• Recomendaciones de Endpoint Protection en Microsoft Defender for Clouds:

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Inteligencia sobre amenazas
• Administración del cumplimiento de la seguridad
• Administración de posturas

ES-3: Asegurarse de que se actualizan las firmas y el software antimalware

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
10,2	SI-2, SI-3	5,2

Principio de seguridad: asegúrese de que las firmas antimalware se actualizan de forma rápida y coherente para la solución antimalware.

Guía de Azure: siga las recomendaciones de Microsoft Defender for Cloud para mantener todos los puntos de conexión actualizados con las firmas más recientes. Microsoft antimalware (para Windows) y Microsoft Defender para punto de conexión (para Linux) instala automáticamente las últimas firmas y actualizaciones del motor de forma predeterminada.

En el caso de las soluciones externas, asegúrese de que las firmas se actualizan en la solución antimalware externa.

Implementación de Azure y contexto adicional:

• Implementación de Microsoft antimalware para Cloud Services y máquina virtual
• Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud

Guía de AWS: con su cuenta de AWS incorporada en Microsoft Defender for Cloud, siga las recomendaciones de Microsoft Defender for Cloud para mantener todos los puntos de conexión actualizados con las firmas más recientes. Microsoft antimalware (para Windows) y Microsoft Defender para punto de conexión (para Linux) instala automáticamente las últimas firmas y actualizaciones del motor de forma predeterminada.

En el caso de las soluciones externas, asegúrese de que las firmas se actualizan en la solución antimalware externa.

Implementación de AWS y contexto adicional:

• Conexión de las cuentas de AWS a Microsoft Defender for Cloud

Guía de GCP: con los proyectos de GCP incorporados a Microsoft Defender for Cloud, siga las recomendaciones de Microsoft Defender for Cloud para mantener todas las soluciones de EDR actualizadas con las firmas más recientes. Microsoft antimalware (para Windows) y Microsoft Defender para punto de conexión (para Linux) instala automáticamente las últimas firmas y actualizaciones del motor de forma predeterminada.

En el caso de las soluciones externas, asegúrese de que las firmas se actualizan en la solución antimalware externa.

Implementación de GCP y contexto adicional:

• Conecte los proyectos de GCP a Microsoft Defender for Cloud:

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Inteligencia sobre amenazas
• Administración del cumplimiento de la seguridad
• Administración de posturas

Control de seguridad: gobernanza y estrategia

La gobernanza y la estrategia proporcionan instrucciones para garantizar una estrategia de seguridad coherente y un enfoque de gobernanza documentado para guiar y mantener la garantía de seguridad, incluido el establecimiento de roles y responsabilidades para las distintas funciones de seguridad en la nube, la estrategia técnica unificada y las directivas y estándares de apoyo.

GS-5: Definir e implementar una estrategia de administración de la postura de seguridad

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
4.1, 4.2	CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5	1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Guía general: establezca una directiva, un procedimiento y un estándar para asegurarse de que la administración de la configuración de seguridad y la administración de vulnerabilidades están en su mandato de seguridad en la nube.

La administración de la configuración de seguridad en la nube debe incluir las siguientes áreas:

• Defina las líneas base de configuración seguras para distintos tipos de recursos en la nube, como el portal web, la consola, la administración y el plano de control, y los recursos que se ejecutan en los servicios IaaS, PaaS y SaaS.
• Asegúrese de que las líneas base de seguridad abordan los riesgos en diferentes áreas de control, como la seguridad de red, la administración de identidades, el acceso con privilegios, la protección de datos, etc.
• Use herramientas para medir, auditar y aplicar continuamente la configuración para evitar que la configuración se desvíe de la línea base.
• Desarrolle una cadencia para mantenerse actualizada con las características de seguridad, por ejemplo, suscribirse a las actualizaciones del servicio.
• Use un mecanismo de comprobación de cumplimiento o estado de seguridad (como Puntuación de seguridad, Panel de cumplimiento en Microsoft Defender for Cloud) para revisar periódicamente la posición de configuración de seguridad y corregir las brechas identificadas.

La administración de vulnerabilidades en la nube debe incluir los siguientes aspectos de seguridad:

• Evalúe y corrija periódicamente las vulnerabilidades en todos los tipos de recursos en la nube, como los servicios nativos en la nube, los sistemas operativos y los componentes de la aplicación.
• Use un enfoque basado en riesgos para priorizar la evaluación y la corrección.
• Suscríbase a los avisos de seguridad y blogs de CSPM pertinentes para recibir las actualizaciones de seguridad más recientes.
• Asegúrese de que la evaluación y corrección de vulnerabilidades (como programación, ámbito y técnicas) cumplen los requisitos de cumplimiento de su organización.

Implementación y contexto adicional:

• Prueba comparativa de seguridad en la nube de Microsoft: administración de posturas y vulnerabilidades
• Procedimiento recomendado de seguridad de Azure 9: establecimiento de la administración de la posición de seguridad

Partes interesadas de la seguridad del cliente (más información):

• Todas las partes interesadas

GS-11: Definición e implementación de una estrategia de seguridad multinube

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
No disponible	No disponible	No disponible

Guía general: asegúrese de que se define una estrategia multinube en el proceso de gobernanza de la nube y seguridad, administración de riesgos y operación que debe incluir los siguientes aspectos:

• Adopción multinube: para las organizaciones que operan la infraestructura multinube y Forme a su organización para asegurarse de que los equipos comprendan las diferencias de características entre las plataformas en la nube y la pila de tecnología. Compile, implemente o migre soluciones que son portátiles. Permitir la facilidad de movimiento entre plataformas en la nube con bloqueo de proveedor mínimo mientras se usan características nativas de nube adecuadamente para el resultado óptimo de la adopción de la nube.
• Operaciones de nube y seguridad: optimice las operaciones de seguridad para admitir las soluciones en cada nube, a través de un conjunto central de procesos de gobernanza y administración que comparten procesos de operaciones comunes, independientemente de dónde se implemente y funcione la solución.
• Herramientas y pila de tecnología: elija las herramientas adecuadas que admiten entornos multinube para ayudar a establecer plataformas de administración unificadas y centralizadas que incluyan todos los dominios de seguridad descritos en esta prueba comparativa de seguridad.

Implementación y contexto adicional:

• Azure híbrido y multinube
• Documentación híbrida y multinube de Azure
• Comparación de SERVICIOS de AWS a Azure
• Azure para profesionales de AWS

Control de seguridad: Administración de identidades

La administración de identidades abarca controles para establecer una identidad segura y controles de acceso mediante sistemas de administración de identidades y accesos, incluido el uso de inicio de sesión único, autenticaciones sólidas, identidades administradas (y entidades de servicio) para aplicaciones, acceso condicional y supervisión de anomalías en las cuentas.

IM-8: Restricción de la exposición de credenciales y secretos

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
16.9, 16.12	IA-5	3.5, 6.3, 8.2

Principio de seguridad: asegúrese de que los desarrolladores de aplicaciones controle de forma segura las credenciales y los secretos:

• Evite insertar las credenciales y secretos en el código y los archivos de configuración.
• Uso del almacén de claves o un servicio de almacén de claves seguro para almacenar las credenciales y secretos
• Busque credenciales en el código fuente.

Guía de Azure: al usar una identidad administrada no es una opción, asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlas en los archivos de código y configuración.

Si usa Azure DevOps y GitHub para la plataforma de administración de código:

• Implemente El analizador de credenciales de Azure DevOps para identificar las credenciales en el código.
• Para GitHub, use la característica de examen de secretos nativo para identificar credenciales u otra forma de secretos dentro del código.

Los clientes como Azure Functions, los servicios de Azure Apps y las máquinas virtuales pueden usar identidades administradas para acceder a Azure Key Vault de forma segura. Consulte Controles de protección de datos relacionados con el uso de Azure Key Vault para la administración de secretos.

Implementación de Azure y contexto adicional:

• Cómo configurar el analizador de credenciales
• Examen de secretos de GitHub

Guía de AWS: cuando se usa un rol de IAM para el acceso a aplicaciones no es una opción, asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como AWS Secret Manager o Systems Manager Parameter Store, en lugar de insertarlos en los archivos de código y configuración.

Use CodeGuru Reviewer para el análisis de código estático que puede detectar los secretos codificados de forma rígida en el código fuente.

Si usa Azure DevOps y GitHub para la plataforma de administración de código:

• Implemente El analizador de credenciales de Azure DevOps para identificar las credenciales en el código.
• Para GitHub, use la característica de examen de secretos nativo para identificar credenciales u otras formas de secretos dentro del código.

Implementación de AWS y contexto adicional:

• Roles de AWS IAM en EC2
• Servicios integrados de AWS Secrets Manager
• Detección de secretos en CodeGuru Reviewer

Guía de GCP: al usar una cuenta de servicio administrada por Google para el acceso a la aplicación no es una opción, asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Secret Manager de Google Cloud en lugar de insertarlas en los archivos de código y configuración.

Use la extensión de Google Cloud Code en IDE (entorno de desarrollo integrado), como Visual Studio Code, para integrar secretos administrados por Secret Manager en el código.

Si usa Azure DevOps o GitHub para la plataforma de administración de código:

• Implemente El analizador de credenciales de Azure DevOps para identificar las credenciales en el código.
• Para GitHub, use la característica de examen de secretos nativo para identificar credenciales u otras formas de secretos dentro del código.

Implementación de GCP y contexto adicional:

• Procedimientos recomendados de Secret Manager
• Características de Cloud Code para VS Code

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de aplicaciones y DevSecOps
• Administración de posturas

Control de seguridad: respuesta a incidentes

Respuesta a incidentes cubre los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a incidentes, incluido el uso de servicios de Azure (como Microsoft Defender for Cloud y Microsoft Sentinel) y/o otros servicios en la nube para automatizar el proceso de respuesta a incidentes.

IR-4: Detección y análisis: investigación de incidentes

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
No disponible	IR-4	12.10

Principio de seguridad: asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes, para crear una vista completa de lo que ha ocurrido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar los lados no vigilados. También debe asegurarse de que se recopilen los conocimientos y las conclusiones para otros analistas y para futuras referencias históricas.

Use la solución de administración de incidentes y SIEM nativo en la nube si su organización no tiene una solución existente para agregar registros de seguridad e información de alertas. Correlacione los datos de incidentes en función de los datos procedentes de diferentes orígenes para instalar las investigaciones de incidentes.

Guía de Azure: asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos que se recopilan de los servicios y sistemas dentro del ámbito. Además, las fuentes también pueden incluir:

• Datos de registro de identidad y acceso: use los registros de Microsoft Entra y los registros de acceso de las cargas de trabajo (como sistemas operativos o a nivel de aplicaciones) para correlacionar eventos de identidad y acceso.
• Datos de red: use los registros de flujo de los grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.
• Datos de actividad relacionados con incidentes provenientes de las instantáneas de los sistemas afectados, que se pueden obtener a través de:
  • La funcionalidad de instantáneas de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.
  • La capacidad nativa del sistema operativo para volcar la memoria, con el fin de crear una instantánea de la memoria del sistema en ejecución.
  • La característica de instantánea de otros servicios de Azure compatibles o la propia funcionalidad de su software, para crear instantáneas de los sistemas en ejecución.

Microsoft Sentinel proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar el ciclo de vida completo de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.

Implementación de Azure y contexto adicional:

• Crear una instantánea del disco de una máquina Windows
• Instantánea del disco de una máquina Linux
• Información de diagnóstico y recopilación de volcados de memoria del soporte técnico de Microsoft Azure
• Investigación de incidentes con Microsoft Sentinel

Guía de AWS: Las fuentes de datos para la investigación son los registros centralizados que recopilan información de los servicios en el ámbito y los sistemas en ejecución, pero también pueden incluir:

• Datos de registros de identidad y acceso: utilice los registros de IAM y los registros de acceso a cargas de trabajo (como sistemas operativos o a nivel de aplicación) para correlacionar eventos de identidad y acceso.
• Datos de red: utilice VPC Flow Logs, VPC Traffic Mirrors, Azure CloudTrail y CloudWatch para capturar registros de flujo de red y otra información analítica.
• Instantáneas de sistemas en ejecución, que se pueden obtener a través de:
  • Funcionalidad de instantánea en Amazon EC2(EBS) para crear una instantánea del disco del sistema en ejecución.
  • La capacidad nativa del sistema operativo para volcar la memoria, con el fin de crear una instantánea de la memoria del sistema en ejecución.
  • La función de instantáneas de los servicios de AWS o la funcionalidad de su propio software, para crear instantáneas de los sistemas en ejecución.

Si agrega los datos relacionados con SIEM en Microsoft Sentinel, proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.

Implementación de AWS y contexto adicional:

• Creación de reflejo del tráfico
• Creación de copias de seguridad de volúmenes EBS con AMI e instantáneas EBS
• Uso del almacenamiento inmutable

Guía de GCP: Los orígenes de datos para la investigación son los orígenes de registro centralizados que recopilan de los servicios dentro del ámbito y los sistemas en ejecución, pero también pueden incluir:

• Datos de registros de identidad y acceso: utilice los registros de IAM y los registros de acceso a cargas de trabajo (como sistemas operativos o a nivel de aplicación) para correlacionar eventos de identidad y acceso.
• Datos de red: utilice los registros de flujo de VPC y los controles de servicio de VPC para capturar registros de flujo de red y otra información analítica.
• Instantáneas de sistemas en ejecución, que se pueden obtener a través de:
  • Funcionalidad de instantánea en máquinas virtuales GCP para crear una instantánea del disco del sistema en ejecución.
  • La capacidad nativa del sistema operativo para volcar la memoria, con el fin de crear una instantánea de la memoria del sistema en ejecución.
  • La función de instantáneas de los servicios de GCP o la propia capacidad de su software para crear instantáneas de los sistemas en ejecución.

Si agrega los datos relacionados con SIEM en Microsoft Sentinel, proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.

Implementación de GCP y contexto adicional:

• Centro de comandos de seguridad: orígenes de seguridad
• Conjuntos de datos admitidos
• Creación y administración de instantáneas de disco
• Transmisión de registros de Google Cloud Platform a Microsoft Sentinel

Partes interesadas de la seguridad del cliente (más información):

• Operaciones de seguridad
• Preparación de incidentes
• Inteligencia sobre amenazas

IR-6: Independencia, erradicación y recuperación: automatización de la administración de incidentes

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
No disponible	IR-4, IR-5, IR-6	12.10

Principio de seguridad: automatice las tareas manuales y repetitivas para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que puede manejar un analista. Las tareas manuales también aumentan la fatiga de los analistas, lo que incrementa el riesgo de errores humanos que provocan retrasos y merman la capacidad de los analistas para concentrarse eficazmente en tareas complejas.

Guía de Azure: use características de automatización de flujos de trabajo en Microsoft Defender for Cloud y Microsoft Sentinel para desencadenar automáticamente acciones o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes. Las guías operativas realizan acciones, como el envío de notificaciones, la deshabilitación de cuentas y el aislamiento de redes problemáticas.

Implementación de Azure y contexto adicional:

• Configuración de la automatización del flujo de trabajo en Security Center
• Configuración de respuestas automatizadas de amenazas en Microsoft Defender for Cloud
• Configuración de respuestas de amenazas automatizadas en Microsoft Sentinel

Guía de AWS: si usa Microsoft Sentinel para administrar de forma centralizada el incidente, también puede crear acciones automatizadas o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes.

Como alternativa, use características de automatización en AWS System Manager para desencadenar automáticamente acciones definidas en el plan de respuesta a incidentes, incluida la notificación a los contactos o la ejecución de un runbook para responder a alertas, como deshabilitar cuentas y aislar redes problemáticas.

Implementación de AWS y contexto adicional:

• AWS Systems Manager: guías de procedimientos y automatización

Guía de GCP: si usa Microsoft Sentinel para administrar de forma centralizada el incidente, también puede crear acciones automatizadas o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes.

Como alternativa, use automatizaciones de cuadernos de estrategias en Crónica para desencadenar automáticamente acciones definidas en el plan de respuesta a incidentes, incluida la notificación a los contactos o la ejecución de un cuaderno de estrategias para responder a las alertas.

Implementación de GCP y contexto adicional:

• Crónica del cuaderno de estrategias SOAR

Partes interesadas de la seguridad del cliente (más información):

• Operaciones de seguridad
• Preparación de incidentes
• Inteligencia sobre amenazas

Control de seguridad: registro y detección de amenazas

El registro y la detección de amenazas abarcan los controles para detectar amenazas en la nube y habilitar, recopilar y almacenar registros de auditoría para servicios en la nube, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en servicios en la nube; también incluye la recopilación de registros con un servicio de supervisión en la nube, la centralización del análisis de seguridad con un SIEM, la sincronización de tiempo y la retención de registros.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
8.11	AU-3, AU-6, AU-12, SI-4	10.6, 10.8, A3.5

Principio de seguridad: Para admitir escenarios de detección de amenazas, supervise todos los tipos de recursos conocidos para las amenazas y anomalías conocidas y esperadas. Configure las reglas de análisis y filtrado de alertas para extraer alertas de alta calidad de los datos de registro, agentes u otros orígenes de datos para reducir los falsos positivos.

Guía de Azure: use la funcionalidad de detección de amenazas de Microsoft Defender for Cloud para los servicios de Azure correspondientes.

Para la detección de amenazas no incluida en los servicios de Microsoft Defender, consulte líneas base del servicio Microsoft Cloud Security Benchmark para los servicios respectivos para habilitar las funcionalidades de alerta de seguridad o detección de amenazas dentro del servicio. Ingiere alertas y datos de registro de Microsoft Defender for Cloud, XDR de Microsoft Defender y datos de registro de otros recursos en las instancias de Azure Monitor o Microsoft Sentinel para crear reglas de análisis, que detectan amenazas y crean alertas que coinciden con criterios específicos en todo el entorno.

Para entornos de tecnología operativa (OT) que incluyen equipos que controlan o supervisan recursos del Sistema de control industrial (ICS) o control de supervisión y adquisición de datos (SCADA), use Microsoft Defender para IoT para inventariar activos y detectar amenazas y vulnerabilidades.

En el caso de los servicios que no tienen una funcionalidad nativa de detección de amenazas, considere la posibilidad de recopilar los registros del plano de datos y analizar las amenazas a través de Microsoft Sentinel.

Implementación de Azure y contexto adicional:

• Introducción a Microft Defender for Cloud
• Guía de referencia de alertas de seguridad de Microsoft Defender for Cloud
• Creación de reglas de análisis personalizadas para detectar amenazas
• Indicadores de amenazas para la inteligencia sobre amenazas cibernéticas en Microsoft Sentinel

Guía de AWS: use Amazon GuardDuty para la detección de amenazas que analiza y procesa los siguientes orígenes de datos: registros de flujo de VPC, registros de eventos de administración de AWS CloudTrail, registros de eventos de datos de CloudTrail S3, registros de auditoría de EKS y registros DNS. GuardDuty es capaz de informar sobre problemas de seguridad, como la escalación de privilegios, el uso de credenciales expuestas o la comunicación con direcciones IP malintencionadas o dominios.

Configure AWS Config para comprobar las reglas de SecurityHub con el fin de supervisar el cumplimiento normativo, como las desviaciones de configuración, y crear informes cuando sea necesario.

Para la detección de amenazas no incluida en GuardDuty y SecurityHub, habilite las funcionalidades de detección de amenazas o alertas de seguridad dentro de los servicios de AWS admitidos. Extraiga las alertas a CloudTrail, CloudWatch o Microsoft Sentinel para crear reglas de análisis que busquen amenazas que coincidan con criterios específicos en su entorno.

También puede usar Microsoft Defender for Cloud para supervisar determinados servicios en AWS, como instancias EC2.

Para entornos de tecnología operativa (OT) que incluyen equipos que controlan o supervisan recursos del Sistema de control industrial (ICS) o control de supervisión y adquisición de datos (SCADA), use Microsoft Defender para IoT para inventariar activos y detectar amenazas y vulnerabilidades.

Implementación de AWS y contexto adicional:

• Amazon GuardDuty
• Orígenes de datos de Amazon GuardDuty
• Conexión de las cuentas de AWS a Microsoft Defender for Cloud
• Cómo Defender for Cloud Apps ayuda a proteger su entorno de Amazon Web Services (AWS)
• Recomendaciones de seguridad para recursos de AWS: una guía de referencia

Guía de GCP: Use la detección de amenazas de eventos en Google Cloud Security Command Center para la detección de amenazas mediante datos de registro, como actividad de administración, acceso a datos de GKE, registros de flujo de VPC, DNS en la nube y registros de firewall.

Además, use el conjunto de operaciones de seguridad para el SOC moderno con Chronic SIEM y SOAR. Chronicle SIEM y SOAR proporcionan capacidades de detección, investigación y caza de amenazas.

También puede usar Microsoft Defender for Cloud para supervisar determinados servicios en GCP, como instancias de máquina virtual de proceso.

Para entornos de tecnología operativa (OT) que incluyen equipos que controlan o supervisan recursos del Sistema de control industrial (ICS) o control de supervisión y adquisición de datos (SCADA), use Microsoft Defender para IoT para inventariar activos y detectar amenazas y vulnerabilidades.

Implementación de GCP y contexto adicional:

• Información general sobre la detección de amenazas de eventos del Centro de comandos de seguridad
• Crónica SOAR
• Cómo Defender for Cloud Apps ayuda a proteger el entorno de Google Cloud Platform (GCP)
• Recomendaciones de seguridad para recursos de GCP: una guía de referencia

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Operaciones de seguridad
• Administración de posturas
• Seguridad de aplicaciones y DevOps
• Inteligencia sobre amenazas

LT-3: Habilitar el registro para la investigación de seguridad

Expandir tabla

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
8.2, 8.5, 8.12	AU-3, AU-6, AU-12, SI-4	10.1, 10.2, 10.3

Principio de seguridad: habilite el registro de los recursos en la nube para cumplir los requisitos para las investigaciones de incidentes de seguridad y la respuesta a la seguridad y el cumplimiento.

Guía de Azure: habilite la funcionalidad de registro para los recursos en los distintos niveles, como registros de recursos de Azure, sistemas operativos y aplicaciones dentro de las máquinas virtuales y otros tipos de registro.

Tenga en cuenta los distintos tipos de registros de seguridad, auditoría y otros registros operativos en los niveles de plano de administración, control y plano de datos. Hay tres tipos de registros disponibles en la plataforma Azure:

• Registro de recursos de Azure: registro de operaciones que se realizan dentro de un recurso de Azure (el plano de datos). Por ejemplo, obtener un secreto de un almacén de claves o realizar una solicitud a una base de datos. El contenido de los registros de recursos varía según el tipo de recurso y el servicio de Azure.
• Registro de actividad de Azure: registro de operaciones en cada recurso de Azure en la capa de suscripción, desde el exterior (el plano de administración). Puede usar el Registro de Actividad para determinar qué, quién y cuándo para las operaciones de escritura (PUT, POST, DELETE) realizadas sobre los recursos de su suscripción. Hay un único registro de actividad para cada suscripción de Azure.
• Registros de Microsoft Entra ID: Los registros del historial de la actividad de inicio de sesión y una pista de auditoría de los cambios realizados en Microsoft Entra ID para un inquilino determinado.

También puede usar Microsoft Defender for Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de información de registro en los recursos de Azure.

Implementación de Azure y contexto adicional:

• Descripción del registro y los distintos tipos de registro en Azure
• Descripción de la recopilación de datos de Microsoft Defender for Cloud
• Habilitación y configuración de la supervisión contra malware
• Sistemas operativos y registros de aplicaciones dentro de los recursos de proceso

Guía de AWS: Use el registro de AWS CloudTrail para eventos de administración (operaciones del plano de control) y eventos de datos (operaciones del plano de datos) y supervise estos seguimientos con CloudWatch para acciones automatizadas.

El servicio Amazon CloudWatch Logs le permite recopilar y almacenar registros de sus recursos, aplicaciones y servicios casi en tiempo real. Hay tres categorías principales de registros:

• Registros vendidos: registros publicados de forma nativa por los servicios de AWS en su nombre. Actualmente, los registros de flujo de Amazon VPC y los registros de Amazon Route 53 son los dos tipos admitidos. Estos dos registros están habilitados de forma predeterminada.
• Registros publicados por servicios de AWS: los registros de más de 30 servicios de AWS publican en CloudWatch. Incluyen Amazon API Gateway, AWS Lambda, AWS CloudTrail y muchos otros. Estos registros se pueden habilitar directamente en los servicios y CloudWatch.
• Registros personalizados: registros de su propia aplicación y recursos locales. Para recopilar estos registros, instale CloudWatch Agent en los sistemas operativos y reenvíelos a CloudWatch.

Aunque muchos servicios publican registros solo en CloudWatch Logs, algunos servicios de AWS pueden publicar registros directamente en Amazon S3 o Amazon Kinesis Data Firehose, en los que puede usar diferentes políticas de almacenamiento de logs y retención.

Implementación de AWS y contexto adicional:

• Habilitación del registro desde determinados servicios de AWS
• Supervisión y registro
• Características de Cloudwatch

Guía de GCP: habilite la funcionalidad de registro para los recursos en los distintos niveles, como registros de recursos de Azure, sistemas operativos y aplicaciones dentro de las máquinas virtuales y otros tipos de registro.

Tenga en cuenta los distintos tipos de registros de seguridad, auditoría y otros registros operativos en los niveles de plano de administración, control y plano de datos. El servicio de registro en la nube de Operations Suite recopila y agrega todo tipo de eventos de registro de los niveles de recursos. Se admiten cuatro categorías de registros en el registro en la nube:

• Registros de plataforma: registros escritos por los servicios de Google Cloud.
• Registros de componentes: similares a los registros de plataforma, pero los registros se generan mediante componentes de software proporcionados por Google que se ejecutan en los sistemas.
• Registros de seguridad: principalmente registros de auditoría que registran actividades administrativas y accesos dentro de los recursos.
• Escrito por el usuario: registros escritos por aplicaciones y servicios personalizados
• Registros multinube y registros de nube híbrida: registros de otros proveedores de nube como Microsoft Azure y registros de la infraestructura local.

Implementación de GCP y contexto adicional:

• Introducción a los registros de auditoría en la nube
• Servicios en la nube de Google con registros de auditoría

Partes interesadas de la seguridad del cliente (más información):

• Seguridad de la infraestructura y del punto de conexión
• Operaciones de seguridad
• Administración de posturas
• Seguridad de aplicaciones y DevOps
• Inteligencia sobre amenazas

LT-4: Habilitación del registro de red para la investigación de seguridad

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6	AU-3, AU-6, AU-12, SI-4	10.8

Principio de seguridad: habilite el registro de los servicios de red para admitir investigaciones de incidentes relacionadas con la red, la búsqueda de amenazas y la generación de alertas de seguridad. Los registros de red incluyen registros de servicios de red, como el filtrado IP, el firewall de red y la aplicación, DNS, la supervisión de flujos, etc.

Guía de Azure: Habilite y recopile registros de recursos del grupo de seguridad de red (NSG), registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) y registros de máquinas virtuales a través del agente de recopilación de datos de tráfico de red para el análisis de seguridad para admitir investigaciones de incidentes de soporte técnico y la generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Log Analytics de Azure Monitor y, a continuación, usar Análisis de tráfico para proporcionar información.

Recopile registros de consultas DNS para ayudar a correlacionar otros datos de red.

Implementación de Azure y contexto adicional:

• Cómo habilitar los registros de flujo del grupo de seguridad de red
• Registros y métricas de Azure Firewall
• Soluciones de supervisión de redes de Azure en Azure Monitor
• Recopilación de información sobre la infraestructura DNS con la solución DE ANÁLISIS DE DNS

Guía de AWS: habilite y recopile registros de red, como registros de flujo de VPC, registros de WAF y registros de consultas del resolutor de Route53 para el análisis de seguridad, con el fin de apoyar investigaciones de incidentes y la generación de alertas de seguridad. Los registros se pueden exportar a CloudWatch para la supervisión o un cubo de almacenamiento S3 para la ingesta en la solución de Microsoft Sentinel para el análisis centralizado.

Implementación de AWS y contexto adicional:

• Habilitación del registro desde determinados servicios de AWS

Guía de GCP: la mayoría de los registros de actividades de red están disponibles a través de los registros de flujo de VPC que registran un ejemplo de flujos de red enviados y recibidos por recursos, incluidas las instancias que se usan como máquinas virtuales de Google Compute, nodos del motor de Kubernetes. Estos registros se pueden usar para la supervisión de red, los análisis forenses, el análisis de seguridad en tiempo real y la optimización de gastos.

Puede ver los registros de flujo en Registro en la nube y exportar registros al destino que admite la exportación de registro en la nube. Los registros de flujo se agrupan por conexión desde las máquinas virtuales (VMs) de Compute Engine y se exportan en tiempo real. Al suscribirse a Pub/Sub, puede analizar los registros de flujo mediante las API de streaming en tiempo real.

Implementación de GCP y contexto adicional:

• Usar registros de flujo de VPC
• Información de los registros de auditoría de VPC
• Reflejo de paquetes

Partes interesadas de la seguridad del cliente (más información):

• Operaciones de seguridad
• Seguridad de la infraestructura y del punto de conexión
• Seguridad de aplicaciones y DevOps
• Inteligencia sobre amenazas

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
8.9, 8.11, 13.1	AU-3, AU-6, AU-12, SI-4	No disponible

Principio de seguridad: centralice el almacenamiento de registro y el análisis para habilitar la correlación entre los datos de registro. Para cada fuente de registro, asegúrese de haber asignado un propietario de los datos, directrices de acceso, ubicación de almacenamiento, herramientas utilizadas para procesar y acceder a los datos, y requisitos de retención de datos.

Use SIEM nativo de nube si no tiene una solución SIEM existente para CSP. O bien, agregue registros o alertas a su SIEM existente.

Guía de Azure: asegúrese de que va a integrar los registros de actividad de Azure en un área de trabajo centralizada de Log Analytics. Utilice Azure Monitor para consultar y realizar análisis, así como para crear reglas de alerta utilizando los registros agregados de los servicios de Azure, los dispositivos finales, los recursos de red y otros sistemas de seguridad.

Además, habilite e incorpore datos a Microsoft Sentinel que proporciona funcionalidades de administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR).

Implementación de Azure y contexto adicional:

• Recopilación de registros y métricas de plataforma con Azure Monitor
• Cómo incorporar Microsoft Sentinel

Guía de AWS: asegúrese de que va a integrar los registros de AWS en un recurso centralizado para el almacenamiento y el análisis. Use CloudWatch para consultar y realizar análisis y crear reglas de alerta mediante los registros agregados de los servicios de AWS, servicios, dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad.

Además, puede agregar los registros en un cubo de almacenamiento S3 e incorporar los datos de registro a Microsoft Sentinel que proporciona funcionalidades de administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR).

Implementación de AWS y contexto adicional:

• Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro de servicios de AWS

Guía de GCP: asegúrese de que va a integrar los registros de GCP en un recurso centralizado (como el cubo de registro en la nube de Operations Suite) para el almacenamiento y el análisis. El registro en la nube admite la mayoría del registro de servicios nativos de Google Cloud, así como las aplicaciones externas y las aplicaciones locales. Puede usar el registro en la nube para consultar y realizar análisis, y crear reglas de alertas mediante los registros agregados desde servicios GCP, servicios, dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad.

Use un SIEM nativo en la nube si no tiene una solución SIEM existente para proveedores de servicios en la nube (CSP), o agregue los registros/alertas a su SIEM existente.

Implementación de GCP y contexto adicional:

• Agregar y almacenar los registros de la organización
• Introducción a la consulta y visualización de registros
• Crónica SIEM

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Seguridad de aplicaciones y DevOps
• Seguridad de la infraestructura y del punto de conexión

LT-6: Configurar la retención del almacenamiento de registros

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
8.3, 8.10	AU-11	10.5, 10.7

Principio de seguridad: planee la estrategia de retención de registros según los requisitos de cumplimiento, regulación y negocio. Configure la directiva de retención de registros en los servicios de registro individuales para garantizar que los registros se archiven correctamente.

Guía de Azure: los registros como los registros de actividad de Azure se conservan durante 90 días y, a continuación, se eliminan. Debe crear una configuración de diagnóstico y enrutar los registros a otra ubicación (como el área de trabajo de Log Analytics de Azure Monitor, Event Hubs o Azure Storage) en función de sus necesidades. Esta estrategia también se aplica a otros registros de recursos y recursos administrados por usted mismo, como los registros de los sistemas operativos y las aplicaciones dentro de las máquinas virtuales.

Tiene la opción de retención de registros:

• Use el área de trabajo de Log Analytics de Azure Monitor para un período de retención de registros de hasta un año o según los requisitos del equipo de respuesta.
• Utilice Azure Storage, Data Explorer o Data Lake para el almacenamiento a largo plazo y de archivo durante más de un año y para cumplir con los requisitos de cumplimiento de seguridad.
• Use Azure Event Hubs para reenviar registros a un recurso externo fuera de Azure.

Implementación de Azure y contexto adicional:

• Cambio del período de retención de datos en Log Analytics
• Configuración de la directiva de retención para los registros de cuentas de Azure Storage
• Exportación de alertas y recomendaciones de Microsoft Defender for Cloud

Guía de AWS: De forma predeterminada, los registros se mantienen indefinidamente y nunca expiran en CloudWatch. Puede ajustar la directiva de retención para cada grupo de registros, mantener la retención indefinida o elegir un período de retención entre 10 años y un día.

Utilice Amazon S3 para el archivado de registros de CloudWatch y aplique la directiva de archivado y administración del ciclo de vida de objetos al bucket. Puede usar Azure Storage para el archivado de registros central mediante la transferencia de los archivos de Amazon S3 a Azure Storage.

Implementación de AWS y contexto adicional:

• Modificación de la retención de registros de CloudWatch
• Copia de datos de Amazon S3 a Azure Storage mediante AzCopy

Guía de GCP: De forma predeterminada, Cloud Logging de Operations Suite conserva los registros durante 30 días, a menos que configure la retención personalizada para el bucket de Cloud Logging. Los registros de auditoría de actividad de administración, los registros de auditoría de eventos del sistema y los registros de transparencia de acceso se conservan de forma predeterminada 400 días. Puede configurar el registro en la nube para conservar los registros entre 1 día y 3650 días.

Utilice Cloud Storage para el archivado de registros desde Cloud Logging y aplique la administración del ciclo de vida de objetos y la política de archivado al bucket. Puede usar Azure Storage para el archivado de registros central mediante la transferencia de los archivos de Google Cloud Storage a Azure Storage.

Implementación de GCP y contexto adicional:

• Retención de logs personalizados
• Directivas de retención de almacenamiento
• Introducción al enrutamiento y el almacenamiento de registros

Partes interesadas de la seguridad del cliente (más información):

• Arquitectura de seguridad
• Seguridad de aplicaciones y DevOps
• Operaciones de seguridad
• Administración del cumplimiento de seguridad

Control de seguridad: administración de posturas y vulnerabilidades

La administración de posturas y vulnerabilidades se centra en los controles para evaluar y mejorar la posición de seguridad en la nube, como el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, los informes y la corrección en los recursos en la nube.

PV-4: Auditar y aplicar configuraciones seguras para los recursos de proceso

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
4,1	CM-2, CM-6	2,2

Principio de seguridad: supervise y alerte continuamente cuando hay una desviación de la línea base de configuración definida en los recursos de proceso. Aplique la configuración deseada según la configuración de línea base al denegar la configuración no conforme o implementar una configuración en los recursos de proceso.

Guía de Azure: Use Microsoft Defender for Cloud y Azure Automanage Machine Configuration (anteriormente denominado Configuración de invitado de Azure Policy) para evaluar y corregir periódicamente las desviaciones de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales, los contenedores y otros. Además, puede usar plantillas de Azure Resource Manager, imágenes de sistema operativo personalizadas o State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo. Las plantillas de máquina virtual de Microsoft con State Configuration de Azure Automation pueden ayudar a cumplir y mantener los requisitos de seguridad. Utilice el Seguimiento de cambios e inventario en Azure Automation para realizar un seguimiento de los cambios en las máquinas virtuales alojadas en Azure, en entornos locales y en otros entornos de nube, lo que le ayudará a identificar problemas operativos y ambientales con el software administrado por el Administrador de paquetes de distribución. Instale el agente Guest Attestation en máquinas virtuales para supervisar la integridad de arranque en máquinas virtuales confidenciales.

Implementación de Azure y contexto adicional:

• Cómo implementar recomendaciones de evaluación de vulnerabilidades de Microsoft Defender for Cloud
• Creación de una máquina virtual de Azure a partir de una plantilla de Azure Resource Manager
• Información general sobre la State Configuration de Azure Automation
• Creación de una máquina virtual Windows en Azure Portal
• Seguridad de contenedores en Microsoft Defender for Cloud
• Seguimiento de Cambios y Resumen de Inventario
• Atestación de invitado para máquinas virtuales confidenciales

Guía de AWS: use la característica Administrador de estado de AWS System Manager para evaluar y corregir periódicamente las desviaciones de configuración en las instancias ec2. Además, puede usar plantillas de CloudFormation, imágenes de sistema operativo personalizadas para mantener la configuración de seguridad del sistema operativo. Las plantillas de AMI con Systems Manager pueden ayudar a cumplir y mantener los requisitos de seguridad.

También puede supervisar y administrar de forma centralizada el desfase de configuración del sistema operativo a través de State Configuration de Azure Automation e incorporar los recursos aplicables a la gobernanza de seguridad de Azure mediante los métodos siguientes:

• Incorporación de su cuenta de AWS en Microsoft Defender for Cloud
• Uso de Azure Arc para servidores para conectar las instancias ec2 a Microsoft Defender for Cloud

En el caso de las aplicaciones de carga de trabajo que se ejecutan dentro de las instancias ec2, AWS Lambda o el entorno de contenedores, puede usar AWS System Manager AppConfig para auditar y aplicar la línea base de configuración deseada.

Implementación de AWS y contexto adicional:

• AWS System Manager State Manager
• Conexión de las cuentas de AWS a Microsoft Defender for Cloud
• Habilitar State Configuration de Azure Automation

Guía de GCP: Use VM Manager y Google Cloud Security Command Center para evaluar y corregir periódicamente la desviación de configuración de sus instancias de Compute Engine, contenedores y contratos sin servidor. Además, puede usar plantillas de máquina virtual de Deployment Manager, imágenes de sistema operativo personalizadas para mantener la configuración de seguridad del sistema operativo. Las plantillas de máquina virtual de Deployment Manager con VM Manager pueden ayudar a cumplir y mantener los requisitos de seguridad.

También puede supervisar y administrar de forma centralizada el desfase de configuración del sistema operativo a través de State Configuration de Azure Automation e incorporar los recursos aplicables a la gobernanza de seguridad de Azure mediante los métodos siguientes:

• Incorporación del proyecto de GCP a Microsoft Defender for Cloud
• Uso de Azure Arc para servidores para conectar las instancias de máquina virtual de GCP a Microsoft Defender for Cloud

Implementación de GCP y contexto adicional:

• Introducción a Google Cloud Command Center.
• Google Cloud VM Manager
• Google Cloud Deployment Manager:

Partes interesadas de la seguridad del cliente (más información):

• Administración de posturas
• Seguridad de la infraestructura y del punto de conexión
• Seguridad de aplicaciones y DevOps

PV-5: Realizar evaluaciones de vulnerabilidades

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
5.5, 7.1, 7.5, 7.6	RA-3, RA-5	6.1, 6.2, 6.6

Principio de seguridad: realice la evaluación de vulnerabilidades de los recursos en la nube en todos los niveles de una programación fija o a petición. Realice un seguimiento y compare los resultados del examen para comprobar que se corrigen las vulnerabilidades. La evaluación debe incluir todos los tipos de vulnerabilidades, como vulnerabilidades en servicios de Azure, red, web, sistemas operativos, configuraciones incorrectas, etc.

Tenga en cuenta los posibles riesgos asociados al acceso con privilegios que usan los escáneres de vulnerabilidades. Siga el procedimiento recomendado de seguridad de acceso con privilegios para proteger las cuentas administrativas que se usan para el examen.

Guía de Azure: siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en azure Virtual Machines, imágenes de contenedor y servidores SQL Server. Microsoft Defender for Cloud tiene un analizador de vulnerabilidades integrado para máquinas virtuales. Usar una solución externa para realizar evaluaciones de vulnerabilidades en aplicaciones y dispositivos de red (por ejemplo, aplicaciones web)

Exporte los resultados del examen a intervalos coherentes y compare los resultados con exámenes anteriores para comprobar que se han corregido las vulnerabilidades. Al usar las recomendaciones de administración de vulnerabilidades sugeridas por Microsoft Defender for Cloud, puede acceder al portal de la solución de análisis seleccionada para ver los datos históricos de escaneo.

Al realizar escaneos remotos, no use una sola cuenta administrativa perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT (Just-In-Time) para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y usarse solo para el examen de vulnerabilidades.

Implementación de Azure y contexto adicional:

• Cómo implementar recomendaciones de evaluación de vulnerabilidades de Microsoft Defender for Cloud
• Analizador de vulnerabilidades integrado para máquinas virtuales
• Evaluación de vulnerabilidades de SQL
• Exportación de los resultados del examen de vulnerabilidades de Microsoft Defender for Cloud

Guía de AWS: Use Amazon Inspector para examinar las instancias de Amazon EC2 y las imágenes de contenedor que residen en Amazon Elastic Container Registry (Amazon ECR) para detectar vulnerabilidades de software y exposición de red no deseada. Usar una solución externa para realizar evaluaciones de vulnerabilidades en aplicaciones y dispositivos de red (por ejemplo, aplicaciones web)

Consulte el control ES-1, Uso de detección y respuesta de puntos de conexión (EDR), para incorporar su cuenta de AWS a Microsoft Defender for Cloud e implementar Microsoft Defender para servidores (con Microsoft Defender para punto de conexión integrado) en las instancias de EC2. Microsoft Defender para servidores proporciona una funcionalidad nativa de administración de amenazas y vulnerabilidades para las máquinas virtuales. El resultado del examen de vulnerabilidades se consolida en el panel de Microsoft Defender for Cloud.

Realice un seguimiento del estado de los resultados de vulnerabilidades para asegurarse de que se corrigen correctamente o se suprimen si se consideran falsos positivos.

Al realizar escaneos remotos, no use una sola cuenta administrativa perpetua. Considere la posibilidad de implementar una metodología de aprovisionamiento temporal para la cuenta de escaneo. Las credenciales de la cuenta de examen deben protegerse, supervisarse y usarse solo para el examen de vulnerabilidades.

Implementación de AWS y contexto adicional:

• Amazon Inspector
• Investigue las vulnerabilidades con la administración de amenazas y vulnerabilidades de Microsoft Defender para los puntos de conexión

Guía de GCP: siga las recomendaciones de Microsoft Defender for Cloud o/and Google Cloud Security Command Center para realizar evaluaciones de vulnerabilidades en las instancias de Compute Engine. Security Command Center tiene evaluaciones de vulnerabilidades integradas en dispositivos y aplicaciones de red (por ejemplo, Web Security Scanner)

Exporte los resultados del examen a intervalos coherentes y compare los resultados con exámenes anteriores para comprobar que se han corregido las vulnerabilidades. Al usar recomendaciones de administración de vulnerabilidades sugeridas por Security Command Center, puede acceder al portal de la solución de escaneo seleccionada para ver los datos históricos del escaneo.

Implementación de GCP y contexto adicional:

• Introducción al Centro de comandos de Google Cloud Security.Información general del analizador de seguridad web

PV-6: Corrección rápida y automática de vulnerabilidades

Identificadores de CIS Controls v8	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
7.2, 7.3, 7.4, 7.7	RA-3, RA-5, SI-2: CORRECCIÓN DE ERRORES	6.1, 6.2, 6.5, 11.2

Principio de seguridad: implementa rápidamente e implementa automáticamente revisiones y actualizaciones para corregir las vulnerabilidades en los recursos en la nube. Use el enfoque adecuado basado en riesgos para priorizar la corrección de vulnerabilidades. Por ejemplo, las vulnerabilidades más graves de un recurso de valor más alto deben abordarse como prioridad más alta.

Guía de Azure: use Administración de Actualizaciones de Azure Automation o una solución externa para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows y Linux. En el caso de las máquinas virtuales Windows, asegúrese de que Windows Update se ha habilitado y establecido para actualizarse automáticamente.

Para software externo, use una solución de administración de revisiones externa o Microsoft System Center Updates Publisher para Configuration Manager.

Implementación de Azure y contexto adicional:

• Configuración de Update Management para máquinas virtuales en Azure
• Administración de actualizaciones y revisiones para las máquinas virtuales de Azure

Guía de AWS: Use AWS Systems Manager - Patch Manager para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en sus sistemas operativos y aplicaciones. Patch Manager admite líneas base de revisión para permitirle definir una lista de revisiones aprobadas y rechazadas para los sistemas.

También puede usar Update Management de Azure Automation para administrar de forma centralizada las revisiones y actualizaciones de las instancias de Windows y Linux de AWS EC2.

Para software externo, use una solución de administración de revisiones externa o Microsoft System Center Updates Publisher para Configuration Manager.

Implementación de AWS y contexto adicional:

• AWS Systems Manager - Patch Manager
• Introducción a Update Management

Guía de GCP: use la administración de revisiones del sistema operativo de Google Cloud VM Manager o una solución externa para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows y Linux. En el caso de las máquinas virtuales Windows, asegúrese de que Windows Update está habilitado y establecido para actualizarse automáticamente.

Para software externo, use una solución de administración de revisiones externa o Microsoft System Center Updates Publisher para la administración de la configuración.

Implementación de GCP y contexto adicional:

• Administrador de máquinas virtuales.
• Administración de revisiones del sistema operativo
• Google Kubernetes Engine (GKE). Aplicación de revisiones de seguridad

Partes interesadas de la seguridad del cliente (más información):

• Administración de posturas
• Seguridad de la infraestructura y del punto de conexión
• Seguridad de aplicaciones y DevOps